CNCERT CC:2020年第4季度我国DDoS攻击资源分析报告.ppt
《CNCERT CC:2020年第4季度我国DDoS攻击资源分析报告.ppt》由会员分享,可在线阅读,更多相关《CNCERT CC:2020年第4季度我国DDoS攻击资源分析报告.ppt(20页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、我国 DDoS 攻击资源分析报告(2020 年第 4 季度)国家计算机网络应急技术处理协调中心2021 年 1 月目 录我国 DDoS攻击资源分析报告(2020年第 4季度)一、引言(一)攻击资源定义本报告为 2020 年第 4 季度的 DDoS 攻击资源分析报告。围绕互联网环境威胁治理问题,基于 CNCERT 监测的 DDoS攻击事件数据进行抽样分析,重点对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的僵尸网络控制端。2、肉鸡资源,指被控制端利用,向攻击目标发起 DDoSCNCE
2、RT攻击的僵尸主机节点。3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如 DNS 服务器,NTP 服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起 DDoS 反射攻击的网络资源。4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动 DDoS 攻击的设备。3/20我国 DDoS攻击资源分析报告(2020年第 4季度)5、本地伪造流量来源路由器,
3、是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。在本报告中,一次 DDoS 攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个 DDoS 攻击,攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为 24 小时或更多,则该事件被认为是两次攻击。此外,DDoS 攻击资源及攻击目标地址均指其 IP 地址,它们的地理位置由它的 IP 地址定位得到。(二)本季度重点关注情况1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制CNCERT端按国家和地区统计,最多位于美国、德国和荷兰;境内控制端按省份统计,最多位于
4、上海市、江苏省和广东省,按归属运营商统计,使用 BGP 多线的控制端数量最多。2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于安徽省、江苏省和辽宁省;按归属运营商统计,电信占比最大。3、本季度被利用参与 Memcached 反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、山东省、和湖南省;数量最多的归属运营商是电信。被利用参与 NTP 反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省4/20我国 DDoS攻击资源分析报告(2020年第 4季度)份是河北省、河南省和湖北省;数量最多的归属运营商是联通。被利用参与 SSDP 反射攻击的活跃境内反射服务器中,按省份统
5、计排名前三名的省份是浙江省、辽宁省和广东省;数量最多的归属运营商是电信。4、本季度转发伪造跨域攻击流量的路由器中,位于上海市、四川省和江苏省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于江苏省、福建省和湖南省的路由器数量最多。二、DDoS 攻击资源分析(一)控制端资源分析CNCERT2020 年第 4 季度 CNCERT/CC 监测发现,利用肉鸡发起DDoS 攻击的活跃控制端有 1057 个,其中境外控制端占比 97.3%、云平台控制端占比 79.9%,如图 1 所示,与 2020 年第 3季度相比境外控制端占比进一步提高。控制端境内外分布控制端云平台占比境内2.7%其他20.1
6、%云79.9%境外97.3%图 1 2020 年第 4 季度发起 DDoS 攻击的控制端数量境内外分布和云平台占比5/20我国 DDoS攻击资源分析报告(2020年第 4季度)位于境外的控制端按国家或地区统计,排名前三位的分别为美国(43.3%)、德国(13.1%)和荷兰(10.7%),其中如图 2 所示。加拿大 控制端境外分布巴西2.8%1.8%其他10.9%罗马尼亚2.9%美国43.3%俄罗斯4.7%摩尔多瓦4.8%荷兰10.7%中国香港5.0%德国13.1%图 2 2020 年第 4 季度发起 DDoS 攻击的境外控制端数量按国家或地区分布位于境内的控制端按省份统计,排名前三位的分别为上
7、海CNCERT市(20.7%)、江苏省(17.2%)和广东省(13.8%);按运营商统计,BGP 多线占 51.7%,电信占 34.5%,联通占 13.8%,如图 3 所示。控制端境内分布控制端境内运营商分布其他17.2%上海20.7%湖北3.4%电信34.5%BGP多线51.7%江苏17.2%河南6.9%联通13.8%广东13.8%山东10.3%浙江10.3%移动0.0%图 3 2020 年第 4 季度发起 DDoS 攻击的境内控制端数量按省份和运营商分布发起攻击最多的境内控制端地址前二十名及归属如表 16/20我国 DDoS攻击资源分析报告(2020年第 4季度)所示,位于上海市的地址最多
8、。表 1 2020 年第 4 季度发起攻击的境内控制端 TOP20归属运营商或云服务商控制端地址119.X.X.12147.X.X.231116.X.X.29222.X.X.87122.X.X.123222.X.X.130222.X.X.78122.X.X.232119.X.X.15427.X.X.246119.X.X.92113.X.X.3061.X.X.68归属省份山东广东湖北江苏河南江苏江苏上海上海山东上海上海浙江浙江上海上海江苏吉林浙江安徽联通阿里云电信电信BGP多线电信电信BGP多线BGP多线联通BGP多线BGP多线电信61.X.X.9电信122.X.X.9849.X.X.24322
9、2.X.X.226221.X.X.23961.X.X.62BGP多线BGP多线电信联通CNCERT电信36.X.X.13电信(二)肉鸡资源分析2020 年第 4 季度 CNCERT/CC 监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击)的肉鸡 332628 个,其中境内肉鸡占比 92.9%、云平台肉鸡占比 5.5%,如图 4 所示。7/20我国 DDoS攻击资源分析报告(2020年第 4季度)肉鸡境内外分布肉鸡云平台占比境外7.1%云5.5%其他94.5%境内92.9%图 4 2020 年第 4 季度参与 DDoS 攻击的肉鸡数量境内外分布和云平台占比位于境外的肉鸡
10、按国家或地区统计,排名前三位的分别为美国(17.9%)、俄罗斯(6.7%)和巴西(6.4%),其中如图5 所示。肉鸡境外分布美国17.9%C其他47.7%俄罗斯6.7%巴西6.4%印度尼西亚4.3%德国4.2%韩国2.7%日本3.3%中国台湾3.7%越南3.1%图 5 2020 年第 4 季度参与 DDoS 攻击的境外肉鸡数量按国家或地区分布位于境内的肉鸡按省份统计,排名前三位的分别为安徽省(12.6%)、江苏 省(10.7%)和辽宁省(7.4%);按运营商统计,电信占 63.4%,联通占 31.9%,移动占 2.7%,如图 6 所示。8/20我国 DDoS攻击资源分析报告(2020年第 4季
11、度)肉鸡境内分布肉鸡境内运营商分布其他2.1%移动2.7%安徽12.6%其他34.0%江苏10.7%联通31.9%辽宁7.4%山东4.7%电信63.4%福建5.4%广东7.4%四川5.4%吉林6.5%浙江6.0%图 6 2020 年第 4 季度参与 DDoS 攻击的境内肉鸡数量按省份和运营商分布参与攻击最多的境内肉鸡地址前二十名及归属如表 2 所示,位于北京市的地址最多。表 2 2020 年第 4 季度参与攻击最多的境内肉鸡地址 TOP20肉鸡地址归属省份北京北京北京北京北京北京北京广东河北山东中国北京中国中国浙江中国广东山东浙江广东归属运营商BGP多线联通124.X.X.117111.X.X
12、.145123.X.X.121111.X.X.227111.X.X.195111.X.X.233111.X.X.20139.X.X.75CNCERTBGP多线联通联通联通联通阿里云联通121.X.X.114114.X.X.838.X.X.151阿里云阿里云阿里云阿里云阿里云阿里云阿里云阿里云阿里云阿里云阿里云39.X.X.1008.X.X.758.X.X.149121.X.X.1098.X.X.31120.X.X.234115.X.X.16242.X.X.102120.X.X.2499/20我国 DDoS攻击资源分析报告(2020年第 4季度)(三)反射攻击资源分析2020 年第 4 季度 C
13、NCERT/CC 监测发现,参与反射攻击的三类重点反射服务器 2915043 台,其中境内反射服务器占比65.2%,Memcached 反射服务器占比 1.6%,NTP 反射服务器占比 34.0%,SSDP 反射服务器占比 64.4%。(1)Memcached 反射服务器资源Memcached 反射攻击利用了在互联网上暴露的大批量 Memcached 服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向 Memcached 服务器 IP 地址的默认端口 11211 发送伪造受害者 IP 地址的特定指令 UDP 数据包,使 Memcached 服务器向受害者 IP 地址返回比请求数据包
14、大数倍的CNCERT数据,从而进行反射攻击。2020 年第 4 季度 CNCERT/CC 监测发现,参与反射攻击的 Memcached 反射服务器 45553 个,其中境内反射服务器占比 94.8%、云平台反射服务器占比 4.2%,如图 7 所示。反射服务器境内外分布反射服务器云平台占比境外5.2%云4.2%其他95.8%境内94.8%10/20我国 DDoS攻击资源分析报告(2020年第 4季度)图 7 2020 年第 4 季度 Memcached 反射服务器数量境内外分布和云平台占比位于境外的反射服务器按国家或地区统计,排名前三位的分别为美国(36.7%)、德国(7.1%)和法国(5.8%
15、),其中如图 8 所示。反射服务器境外分布其他26.9%美国36.7%中国香港2.5%印度尼西亚2.9%德国7.1%印度3.3%法国5.8%越南4.9%荷兰4.7%俄罗斯5.1%图 8 2020 年第 4 季度境外 Memcached 反射服务器数量按国家或地区分布CNCERT位于境内的反射服务器按省份统计,排名前三位的分别为广东省(17.5%)、山东省(7.8%)和湖南省(7.1%);按运营商统计,电信占 76.7%,移动占 13.2%,联通占 8.7%,如 图9 所示。反射服务器境内分布反射服务器境内运营商分布联通8.7%其他1.3%广东17.5%其他40.9%移动13.2%山东7.8%湖
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CNCERT CC:2020年第4季度我国DDoS攻击资源分析报告 CC 2020 季度 我国 DDoS 攻击 资源 分析 报告
限制150内